我在 jdeveloper 11.1.1.7 中使用策略(Wssp1.2-2007-Https-UsernameToken-Plain.xml)构建了简单的Web服务应用程序,并将其部署为 weblogic 10.3 。在客户端和服务器端都可以正常工作。
如果没有指定用户名/密码属性,客户端就无法调用任何方法。服务器会自动检查用户在weblogic服务器中定义的用户值,路径如下(安全领域摘要> myrealm>用户和组)。
通过此,即使使用默认用户weblogic / weblogic,客户端也可以访问该组中的任何用户。
问题:如何限制特定用户组中的用户名/密码检查?。即如果客户提到组外的用户名/密码(即使值正确),服务器也会拒绝该请求
答案 0 :(得分:1)
如果你正在使用weblogic"默认"对于用户的身份验证方法,您可以执行以下操作来设置组访问策略:
现在只有您添加的组应该能够调用Web服务。所有其他用户应该看到类似的内容:
javax.xml.ws.soap.SOAPFaultException: Access denied to operation myWebService